Контакты
Подписка
МЕНЮ
Контакты
Подписка

Атаки на низкоуровневые протоколы АСУ ТП на примере HART

Атаки на низкоуровневые протоколы АСУ ТП на примере HART

В рубрику "АСУ ТП" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Атаки на низкоуровневые протоколы АСУ ТП на примере HART

Современные системы АСУ ТП имеют в основе сложные многоуровневые архитектуры и глубоко интегрованы с остальной инфраструктурой предприятия. Времена, когда программируемые логические контроллеры (PLC, промышленные контроллеры) могли находиться в одном сегменте сети вместе с КИС и интернет-серверами, постепенно проходят, и сейчас высокая сегментированность и иерархичность являются неотъемлемыми свойствами АСУ ТП. Эти свойства могут создать ложное ощущение безопасности инфраструктуры, поскольку на первый взгляд двумя основными точками проникновения в сеть предприятия для атакующего являются демилитаризованная зона и КИС.
Александр Большев
Ведущий исследователь ИБ компании Digital Security

Для того чтобы получить доступ к промышленному сегменту сетевой инфраструктуры, потенциальному атакующему необходимо преодолеть множество межсетевых экранов, систем обнаружения и предупреждения вторжений и других систем защиты. К сожалению, многоуровневая инфраструктура все еще остается уязвимой к атакам с нижних уровней, причем эти уровни зачастую гораздо менее защищены.

Протокол HART

В качестве примера можно рассмотреть уязвимости в инфраструктурах, в состав которых входят устройства, использующие протокол HART для обмена данными.

В токовой петле за сигнал отвечает ток, а не напряжение, и поэтому она является более устойчивой к помехам. Благодаря этому длина таких линий HART может составлять до 3 км. Эти свойства позволяют использовать устройства HART на объектах критической важности, таких как электростанции, химические заводы, нефтегазовые платформы и др. Это обусловлено и тем, что HART может работать во взрывоопасных зонах (классов 0, 1 и 2). Типичные места применения RTU, использующих HART, – это зоны повышенной опасности. Кроме того, из-за довольно высокой дальности устройства HART могут быть размещены за территорией предприятия, например для контроля утечек и экологической обстановки на электростанциях или химических заводах, на трубопроводах, подстанциях и магистралях в нефтегазовой промышленности и на электростанциях и в других местах, где датчик должен находиться на определенном расстоянии от контроллера или HMI.

HART представляет собой типичный протокол со схемой передачи данных типа "управляющий – управляемый" (master – slave), когда PLC или компьютер отправляют некоторую команду датчику или системе ввода/вывода, а тот, в свою очередь, присылает ответ. В основном HART используется для настройки удаленных устройств, а также считывания их состояния. HART может использовать различные физические среды, но самой популярной из них является токовая петля (4–20 мА). Скорость передачи по ней составляет 1200 бод, при этом цифровой сигнал может накладываться на аналоговую составляющую.

В токовой петле за сигнал отвечает ток, а не напряжение, и поэтому она является более устойчивой к помехам. Благодаря этому длина таких линий HART может составлять до 3 км. Эти свойства позволяют использовать устройства HART на объектах критической важности, таких как электростанции, химические заводы, нефтегазовые платформы и др. Это обусловлено и тем, что HART может работать во взрывоопасных зонах (классов 0, 1 и 2). Типичные места применения RTU, использующих HART, – это зоны повышенной опасности. Кроме того, из-за довольно высокой дальности устройства HART могут быть размещены за территорией предприятия, например для контроля утечек и экологической обстановки на электростанциях или химических заводах, на трубопроводах, подстанциях и магистралях в нефтегазовой промышленности и на электростанциях и в других местах, где датчик должен находиться на определенном расстоянии от контроллера или HMI.

Уязвимости

Тем не менее из-за использования токовой петли в качестве среды передачи данных протокол HART является уязвимым к различного рода атакам. Во-первых, злоумышленник может, подключившись к линии HART устройством с высоким импедансом, незаметно прослушивать линию, таким образом получая информацию об инфраструктуре. Кроме того, злоумышленник может перенастроить какой-либо датчик или подделать его. Например, если атакующий изменит адрес Polling ID датчика на новый, а потом ответит управляющему устройству со старым Polling ID, то PLC или компьютер будут считать, что работают с реальным датчиком, а на самом деле они будут взаимодействовать с поддельным датчиком, который имитирует злоумышленник. Возможность подделки данных от датчиков являет собой реальную угрозу безопасности АСУ ТП. Но это далеко не весь спектр проблем, который может возникнуть из-за слабой защиты линий HART.

Протокол HART (дистанционно управляемый измерительный преобразователь, адресуемый через магистраль) — это промышленный стандарт передачи данных для интеллектуальных полевых приборов. HART был разработан в конце 1980-х гг. компанией Rosemount, а сегодня используется в промышленных устройствах множества производителей, включая ABB, Endress & Hauser, Emerson, Honeywell и др. Чаще всего протокол используется для подключения датчиков и удаленных систем ввода-вывода к PLC. Также при помощи шлюзов HART и HART-модемов управлять устройствами HART можно и с компьютера. Программные средства, предназначенные для этого, включают в себя HMI-систе-мы (SCADA), OPC-серверы (OLE for Process Control) и PAS-системы (Plant Asset management Software).

Современные программные средства, работающие с HART, например OPC-серверы и PAS-системы, обладают возможностью глубокой интеграции с другими элементами инфраструктуры, включая системы MES (Machine Execution System) или ERP (Enterprise Resource Planning). Интеграция с этими системами может происходить через PAS-системы, которые взаимодействуют с устройствами на базе HART при помощи спецификации FDT/DTM. Технология FDT/DTM разработана FDT Group и предназначена для упрощения разработки систем PAS и работы с полевыми устройствами. В основе технологии лежат COM-контейнеры и СОМ-объекты, которые взаимодействуют между собой посредством XML-сообщений. Иными словами, данные, полученные от полевых датчиков, упаковываются в XML-сообщения и передаются в PAS-систему, откуда они могут быть переданы на уровни выше – в MES или ERP. В случае если в компоненте, работающем с датчиком, недостаточно корректно реализована (или отсутствует) фильтрация входных данных, то злоумышленник может при помощи изменения конфигурации или подделки датчика вызвать инъекцию XML-кода внутри PAS-системы. Это может привести к серьезным последствиям, поскольку в этом случае происходит проникновение злоумышленника на верхние уровни иерархии АСУ ТП даже в том случае, если они отделены от нижних при помощи МСЭ. Инъекция кода XML может привести к атакам отказа в доступе, чтению произвольных файлов, атаке на механизмы аутентификации и даже к выполнению произвольного кода на системе. Все это может в худшем случае спровоцировать полную компрометацию инфраструктуры как на нижних, так и на верхних уровнях.

Рассмотрим пример такой атаки (рис. 1)

Злоумышленник, получив доступ к токовой петле (1), сначала прослушивает проходящие по ней пакеты и таким образом получает информацию об инфраструктуре и устройствах, взаимодействующих с линией. После чего он отправляет специализированный пакет, который изменит некоторые параметры датчика (в данном случае – параметр long tag, длинный символьный идентификатор) таким образом, чтобы стала возможной инъекция XML-кода. Также он может использовать вышеописанную методику и подделать датчик посредством смены Polling ID. Поскольку размер обычного пакета HART редко превышает 60–70 байт, атакующему необходимо подгрузить дополнительные инструкции XML. Это можно сделать через ссылку на внешний документ. Когда PAS-система начнет взаимодействовать с датчиком (2), данные, содержащие инъекцию XML, передаются на уровень выше (3) в MES или другие системы. На этом уровне происходит внедрение ссылки на XML-документ, находящийся на внешнем или локальном Web-сервере, после чего происходит загрузка внешней схемы XML (4). Таким образом, атакующий может читать произвольные файлы на сервере с MES-системой или использовать методы SSRF для расширения диапазона атаки (5).


Возникает справедливый вопрос: насколько тяжело злоумышленнику получить доступ к линии токовой петли? Если устройство находится вне территории предприятия, то зачастую линия HART – это три-четыре провода, которые могут быть упакованы в отдельный кабель-канал, или кабель-канал используется с другими промышленными линиями. Например, в нефтегазовом секторе эта линия может проходить параллельно трубопроводу. Все, что требуется от злоумышленника, – получить кратковременный доступ (5–10 минут) к такой линии. При этом не обязательно нарушать ее целостность – при определенных конфигурациях достаточно просто подключиться к ней.

Какими могут быть последствия такого рода атак?

Помимо вышеперечисленных возможностей по подделке показаний датчиков, перехвата управления актуаторами, атак отказа в доступе на HMI, OPC и PAS-системы, чтения произвольных файлов, существует гораздо более страшная угроза инфраструктуре: в случае успешной компрометации MES-или PAS-системы за счет глубокой взаимосвязи компонентов в АСУ ТП злоумышленник может перехватить контроль над всем производственным процессом – от нижних уровней до верхних. Это становится возможным благодаря тому, что при сегментировании и изолировании различных АСУ ТП пока редко учитывается тот факт, что атака извне может произойти не только со стороны сети Интернет или КИС, но и с уровня промышленных протоколов или полевых устройств.

Какие меры можно принять для защиты?

К сожалению, в случае использования протокола HART остается лишь гарантирование физической безопасности линий токовой петли. Кроме того, необходимым является аудит инфраструктуры АСУ ТП, в том числе и программных средств, интегрированных с HART, для того чтобы злоумышленник, даже получив доступ к токовой петле, не смог проникнуть на другие уровни и сегменты инфраструктуры.

Современные подходы к проектированию инфраструктур АСУ ТП позволили устранить старые болезни в области информационной безопасности таких систем. Тем не менее, усиливая защиту верхних сегментов системы (КИС, ДМЗ и др.), не стоит забывать и про защиту нижних уровней, так как вектор атаки может быть направлен не только сверху вниз (из КИС/Интернета к ПЛК/полевым устройствам), но и, наоборот, от промышленных шин передачи данных между полевыми устройствами на уровни MES, ERP и в конечном итоге КИС.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014

Приобрести этот номер или подписаться

Статьи про теме